netfpga防火墙.pdfVIP

基于 NetFPGA 的支持远程可重配置的 多功能硬件防火墙概要设计 详细设计说明文档 1 1 引言 3 1.1 编写目的 错误！未定义书签。 1.2 背景 错误！未定义书签。 1.3 定义 错误！未定义书签。 1.4 参考资料 错误！未定义书签。 2 系统的结构 错误！未定义书签。 3 基于 NETFPGA 的防火墙设计说明 错误！未定义书签。 3.1 设计描述 错误！未定义书签。 3.2 功能 错误！未定义书签。 3.3 性能 错误！未定义书签。 3.4 输人项 错误！未定义书签。 3.5 输出项 错误！未定义书签。 3.6 算法 错误！未定义书签。 3.7 流程逻辑 错误！未定义书签。 3.8 接口 错误！未定义书签。 3.9 存储分配 错误！未定义书签。 3.10 注释设计 错误！未定义书签。 3.11 限制条件 错误！未定义书签。 3.12 测试 错误！未定义书签。 3.13 尚未解决的问题 错误！未定义书签。 4 与入侵检测联动设计说明 45 4.1 设计描述 45 4.2 功能 45 4.3 性能 46 4.4 输入项 46 4.5 输出项 46 4.6 算法 46 4.7 流程逻辑 48 4.8 接口 49 4.9 存储分配 50 4.10 注释设计 52 4.11 限制条件 52 4.12 测试 错误！未定义书签。 4.13 尚未解决问题 52 2 1 引言 TCP/IP 以及UDP/IP 是现在应用最广泛的网络互连协议。它作为一种不依赖于任何特定 硬件平台的网络协议，可以使得各种异构网络之间相互通信。但是 IP 协议组本身存在着一 些安全性问题。比如 IP 协议采用明文进行数据流传输，这样应用程序的口令、密码就很容 易被窃听和伪造；还有由于 IP 地址可以人为设置，这就造成了地址假冒和地址欺骗两种危 险；还比如 IP 协议支持源路由方式，即源点可以指定信息包传送到目的节点的中间路由地 址，这就提供了源路由攻击的前提。这些 TCP/IP 协议与生俱来的缺陷造成了黑客对计算机 不同的攻击方式。比如口令攻击、木马攻击、缓冲区溢出以及拒绝服务攻击(DoS)等等。通 常放置在安全内部网络(可信任网络)和外部不可信任网络的入口处，通过监视流经网络的数 据包的源地址，目的地址，端口等信息，限制对受保护网络的非法访问，实现对内部网络的 保护，所以也俗称“边界防火墙(Perimeter Firewall)”[1] 。基于NetFPGA 平台的网络硬件防火 墙利用硬件实现数据包过滤、硬件实现 ARP 攻击的防护、以及可针对新型的网络攻击进行 软硬件可重构，此外还可以通过访问 NetFPGA 平台的一些寄存器来实时地获取网络流量数 据来对防护网络进行调整，从而能够高效地应对网络攻击，在确保整个网络速率不受影响的 前提下，保障所防护网络的安全。 系统整体构架如图 1 所示。 图 1.系统整体构架 3 有图示可知，系统分为三部分： 1) 数据拦截模块：即，基于 NetFPGA 的防火墙； 2) 规则检测模块：即，入侵检测； 3) 防火墙联动技术：即，防火墙联动程序。 1.2 防火墙概述 通过比较传统防火墙和本系统可重构硬件防火墙的优缺点说明研究可重构硬件防火墙 的重要性和实现基于NetFPGA 的可重构硬件防火墙的必要性。 首先对传统防火墙和基于 NetFPGA 的网络硬件防火墙进行简要的介绍，然后将通过对 网络攻击方法的特征分析，来研究如何对网络攻击行为进行防御。 1.2.1 传统防火墙简介 上一章已经介绍过，目前的防火墙技术无论从技术上还是从产品发展历程上，都经历了 五个发展历程。但传统的防火墙并没有解决目前网络中主要价格、性能、安全性、以及面对 新的网络攻击形式的能力之间的矛盾：